Crisi dell'Infrastruttura Email : Perché la Tua Email ha Smetto di Funzionare e Come Risolverlo

Il panorama delle minacce che guida i cambiamenti nella sicurezza

La ragione fondamentale per cui i provider di posta elettronica hanno implementato protocolli di scansione degli allegati più aggressivi è che l'ambiente delle minacce ha raggiunto una gravità senza precedenti. Il rapporto completo di Barracuda sulle minacce email 2025, che ha analizzato quasi 670 milioni di email nel febbraio 2025, ha documentato che gli allegati dannosi rappresentano ora un vettore di attacco persistente ed evolutivo che colpisce organizzazioni in tutti i settori. La portata di questo problema è diventata veramente impressionante, con i provider di posta che devono proteggere da un ambiente in cui circa il 25 percento di tutto il traffico di messaggi rappresenta qualche forma di minaccia.

Ciò che rende particolarmente impegnativo per gli utenti comuni è che gli aggressori sono diventati sempre più sofisticati nei loro metodi. I ricercatori della sicurezza hanno documentato che i cybercriminali usano intenzionalmente la crittografia e la protezione tramite password per bypassare la scansione antivirus tradizionale, creando quello che gli esperti descrivono come un problema di fiducia controintuitivo. Quando ricevi un allegato protetto da password con la password fornita nel corpo dell'email, la crittografia diventa invisibile ai sistemi di scansione gateway tradizionali, ma il file rimane pericoloso una volta aperto. Questa tecnica si è dimostrata così efficace che gruppi di minaccia sofisticati continuano a sfruttare i metodi di consegna crittografati come il modo più affidabile per bypassare l'ispezione automatica e consegnare carichi dannosi direttamente sui dispositivi degli utenti.

L'emergere del phishing basato su codici QR rappresenta forse il cambiamento più drammatico recente che influenza come i provider di posta scansionano gli allegati. La ricerca di Malwarebytes ha documentato che tra la prima e la seconda metà del 2025, il phishing tramite codice QR è aumentato del 282,7 percento, e quando un codice QR appare nei messaggi email, la probabilità che si tratti di un attacco è 1,4 volte superiore rispetto a un messaggio legittimo. Questa esplosione negli attacchi con codice QR ha cambiato radicalmente le priorità di scansione dei provider email perché i codici QR incorporati in PDF e documenti Office possono indirizzare gli utenti verso siti di phishing progettati per raccogliere credenziali o distribuire malware. I provider di posta devono ora aggiungere capacità di riconoscimento delle immagini e decodifica di codici QR nella loro infrastruttura di scansione, rappresentando un ulteriore importante strato di elaborazione che contribuisce ai ritardi nella consegna che si verificano.

Il passaggio al furto di credenziali ha creato una maggiore urgenza per una scansione completa degli allegati. IBM X-Force ha osservato un aumento dell'84 percento delle email che distribuiscono infostealer nel 2024 rispetto all'anno precedente, con dati dei primi mesi del 2025 che rivelano un aumento ancora maggiore del 180 percento rispetto al 2023. Queste campagne di infostealer, spesso veicolate tramite allegati di phishing, rappresentano il vettore iniziale per operazioni di takeover di account che possono compromettere l'infrastruttura organizzativa ben oltre i singoli account email. Questa evoluzione spiega perché i provider di posta ora scansionano i messaggi indipendentemente dalla loro origine esterna o interna, dato che circa il 20 percento delle aziende sperimenta almeno un incidente di takeover di account al mese, con gli aggressori che utilizzano account compromessi per inviare allegati dannosi attraverso canali interni fidati.

Come le Tecnologie di Scansione Moderne Creano Ritardi

Capire perché i tuoi allegati impiegano più tempo ad arrivare richiede l’analisi dei meccanismi tecnologici che i fornitori di servizi email ora impiegano per rilevare le minacce. La sicurezza moderna degli allegati email si basa su un approccio fondamentalmente diverso rispetto alla scansione basata su firme che ha dominato le generazioni precedenti di protezione email. L’innovazione principale che permette un rilevamento delle minacce più completo è il sandboxing, la pratica di eseguire file sospetti in ambienti virtuali isolati dove il loro comportamento può essere osservato senza rischi per i sistemi di produzione reali.

La tecnologia Safe Attachments di Microsoft esemplifica questo approccio moderno al sandboxing e serve come punto di riferimento per comprendere i ritardi di scansione contemporanei. Quando Safe Attachments incontra un allegato sospetto, il sistema lo inserisce in un ambiente virtuale isolato dove il file viene eseguito e monitorato per schemi di comportamento dannoso. Il sistema osserva se i file cercano di scaricare malware aggiuntivo, stabilire connessioni di rete a server di comando e controllo o mostrare altri indicatori comportamentali di compromissione. Questa analisi comportamentale completa solitamente si completa entro 15 minuti secondo la documentazione ufficiale di Microsoft, anche se il processo può richiedere più tempo a seconda della complessità del file e del carico del sistema.

Per i professionisti che lavorano con scadenze serrate, anche 15 minuti rappresentano una restrizione significativa sulla produttività. Questa osservazione guida una considerazione cruciale nel design dei sistemi email moderni, la tensione tra la completezza della sicurezza e la velocità di consegna. Microsoft ha affrontato questa sfida attraverso una funzionalità chiamata Dynamic Delivery, che tenta di separare la consegna del corpo del messaggio dalla scansione degli allegati. Con Dynamic Delivery, il corpo dell’email arriva immediatamente nella tua casella con indicatori segnaposto per ogni allegato, mentre il sandboxing procede in background. Una volta completata l’analisi di sicurezza e stabilito che gli allegati sono sicuri, diventano disponibili per l’apertura o il download.

Tuttavia, Dynamic Delivery non elimina completamente i ritardi. Li redistribuisce semplicemente in modo che tu possa accedere ai contenuti del messaggio mentre aspetti gli allegati. Questa scelta architettonica riflette una decisione consapevole dei fornitori di email di dare priorità all’accessibilità delle informazioni rispetto alla disponibilità immediata degli allegati, riconoscendo che il corpo del messaggio generalmente contiene il contesto necessario per comprendere il contenuto degli allegati. Per flussi di lavoro che dipendono dall’accesso immediato agli allegati, come la revisione di contratti prima di riunioni programmate o l’accesso a documenti finanziari sensibili ai tempi, questa soluzione di compromesso crea comunque frustranti ritardi, compresi i ritardi nella consegna di email con allegati.

L’approccio al sandboxing di SpamTitan, che rappresenta una prassi tipica del settore, verifica ogni circa 15 secondi se l’analisi comportamentale è stata completata, richiedendo in genere non più di 20 minuti per un’analisi completa. Tuttavia, quando grandi volumi di email sospette arrivano simultaneamente, i messaggi si accodano per l’analisi e la finestra di elaborazione si estende di conseguenza. Le organizzazioni che implementano sistemi di sandboxing devono accettare che i limiti delle risorse creano colli di bottiglia durante periodi di intensa attività sospetta, il che significa che i tuoi ritardi negli allegati possono variare significativamente in base a fattori completamente fuori dal tuo controllo.

Oltre al sandboxing, i fornitori di servizi email utilizzano la tecnologia Content Disarm and Reconstruction che rappresenta un approccio fondamentalmente diverso alla mitigazione delle minacce. Invece di bloccare semplicemente i file sospetti, il CDR rimuove il codice potenzialmente dannoso cercando di preservare l’usabilità del file. Un PDF contenente script dannosi può essere processato per rimuovere tali script mantenendo il contenuto leggibile del documento. Questa tecnologia spiega perché alcuni allegati arrivano con formattazione leggermente modificata o funzionalità disabilitate. Il sistema di sicurezza ha rimosso elementi potenzialmente pericolosi cercando di preservare la funzionalità legittima, creando una versione del tuo file che potrebbe non funzionare esattamente come previsto.

Rilevamento con Intelligenza Artificiale e Apprendimento Automatico

Il panorama della rilevazione delle minacce email ha subito una trasformazione fondamentale grazie all’integrazione di tecnologie di intelligenza artificiale e apprendimento automatico che superano gli approcci tradizionali basati sulle firme. Le ricerche sulla sicurezza email guidata dall’IA dimostrano che gli embedding basati su transformer e i meccanismi di attenzione multi-testa raggiungono oltre il 97 percento di precisione nel distinguere email di phishing da messaggi legittimi. Queste avanzate architetture di reti neurali esaminano contemporaneamente la struttura dei file, gli script incorporati, i metodi di codifica insoliti, i modelli dei metadati e gli indicatori comportamentali, capacità che consentono la rilevazione di exploit zero-day e minacce polimorfiche che la scansione tradizionale non rileverebbe.

Le implicazioni pratiche di questo avanzamento tecnologico sono profonde ma spesso sottovalutate dagli utenti finali che sperimentano ritardi nella consegna di email con allegati. I sistemi di sicurezza tradizionali si basano sull’identificazione di firme di malware conosciute attraverso il confronto con database, un approccio che fallisce contro minacce precedentemente sconosciute o attacchi che modificano il malware per eludere il rilevamento delle firme. I sistemi guidati dall’IA, al contrario, possono riconoscere schemi di comportamento dannoso anche quando si trovano di fronte a minacce nuove che non hanno mai incontrato direttamente. Questa capacità si dimostra essenziale negli ambienti di minaccia contemporanei, dove le vulnerabilità zero-day vengono regolarmente sfruttate in natura. Il Google Threat Intelligence Group ha monitorato 90 vulnerabilità zero-day sfruttate nel 2025, con il 48 percento che interessano tecnologie aziendali usate quotidianamente dai professionisti.

Tuttavia, i requisiti computazionali per l’analisi guidata dall’IA contribuiscono in modo significativo ai ritardi nella consegna delle email che si sperimentano. Un’analisi completa che esamina tutte le informazioni contestuali attraverso intestazioni email, contenuto del messaggio e allegati richiede risorse computazionali sostanziali e tempo di elaborazione. Questo onere computazionale grava sull’infrastruttura email distribuita su milioni di server di posta che elaborano miliardi di messaggi ogni giorno. Il compromesso tra sofisticazione della rilevazione e velocità di elaborazione rimane un vincolo intrinseco dei sistemi di sicurezza guidati dall’IA che non può essere completamente eliminato solo con miglioramenti infrastrutturali.

I sistemi IA moderni sono diventati particolarmente efficaci nel rilevare tattiche di ingegneria sociale e compromissione delle email aziendali. I grandi modelli di linguaggio analizzano il tono, la formulazione e il contesto dei messaggi, individuando i segnali sottili dietro tentativi di spear-phishing e altre truffe sociali che spesso sfuggono ai filtri tradizionali. Questa capacità affronta una vulnerabilità critica nella sicurezza email, poiché molti attacchi riescono non attraverso sofisticate sfruttamenti tecnici ma tramite ingegneria sociale accuratamente costruita che sfrutta la psicologia umana e la fiducia contestuale. Sebbene questa protezione giovi agli utenti prevenendo attacchi sofisticati, aggiunge un ulteriore livello di analisi che estende i tempi di elaborazione prima che gli allegati diventino disponibili.

Requisiti normativi che impongono la scansione completa

L’implementazione di una scansione aggressiva degli allegati nel settore delle email non può essere attribuita unicamente all’evoluzione delle minacce. I requisiti normativi stabiliscono controlli di sicurezza obbligatori che i fornitori di servizi email devono applicare per mantenere la conformità con i quadri regolatori nel settore sanitario, finanziario e nella protezione generale dei dati. Questi mandati normativi rappresentano un fattore strutturale che aumenta la complessità della sicurezza email, andando oltre l’adozione volontaria di tecnologie basata solo su vantaggi competitivi, il che significa che i ritardi nella consegna di email con allegati che sperimenti spesso derivano da obblighi legali piuttosto che da decisioni arbitrarie sulla sicurezza.

La Health Insurance Portability and Accountability Act Security Rule ha subito aggiornamenti radicali nel 2025, rappresentando le revisioni più significative della cybersicurezza sanitaria in oltre due decenni. Questi aggiornamenti includono test di penetrazione obbligatori almeno annuali e scansioni di vulnerabilità ogni sei mesi, raddoppiando la frequenza precedente. Per i professionisti della salute, questi mandati normativi si traducono direttamente in una scansione più aggressiva degli allegati e controlli di sicurezza più rigorosi sulle comunicazioni email contenenti informazioni sanitarie protette. Le organizzazioni sanitarie devono implementare specifiche misure tecniche di sicurezza, inclusa la cifratura degli ePHI a riposo e in transito con eccezioni limitate, l’autenticazione a più fattori per l’accesso agli account e la segmentazione della rete per isolare i sistemi critici.

Le modifiche proposte alla HIPAA richiedono esplicitamente che le entità regolamentate implementino procedure complete di valutazione del rischio che individuino tutte le minacce ragionevolmente prevedibili alla riservatezza, integrità e disponibilità degli ePHI, per poi documentare le valutazioni di vulnerabilità e le strategie di mitigazione del rischio. Questi requisiti impongono alle organizzazioni sanitarie di giustificare le loro decisioni di sicurezza email attraverso un’analisi del rischio documentata, rendendo quindi i ritardi nella consegna di email con allegati a fornitori sanitari una diretta conseguenza della conformità normativa e non solo di limitazioni tecnologiche.

ISO 27001, lo standard internazionale per la gestione della sicurezza delle informazioni, stabilisce requisiti distinti ma complementari per la sicurezza delle email. L’Annex A.13 di ISO 27001 affronta esplicitamente la sicurezza delle comunicazioni, richiedendo che i sistemi di messaggistica digitale siano protetti dalle minacce informatiche tramite crittografia, comunicazioni mascherate e monitoraggio come salvaguardie necessarie. Le organizzazioni che perseguono la certificazione ISO 27001 devono implementare politiche complete che coprano la classificazione dei dati, i requisiti di cifratura, i periodi di conservazione e le procedure di trasferimento sicuro. Questi quadri di conformità stabiliscono aspettative di base secondo cui le organizzazioni adotteranno controlli di sicurezza multilivello per gli allegati email, favorendo l’adozione di tecnologie di scansione più sofisticate in tutti i settori, indipendentemente da quanto gli utenti singoli le trovino comode.

La FTC Safeguards Rule, applicabile agli istituti finanziari e alle aziende che gestiscono informazioni finanziarie dei consumatori, stabilisce nove elementi che i programmi di sicurezza delle informazioni devono includere, tra cui la cifratura delle informazioni dei clienti sia nei sistemi che in transito. Sebbene la Safeguards Rule offra flessibilità nelle modalità di implementazione, richiede esplicitamente che le aziende cifrino le informazioni dei clienti o utilizzino controlli alternativi efficaci approvati da personale di sicurezza qualificato. La gestione degli allegati email rientra in questi ambiti quando gli allegati contengono informazioni finanziarie dei clienti, richiedendo misure di sicurezza proporzionate alla sensibilità dei dati trasmessi.

Questi quadri normativi creano un contesto strutturale in cui i fornitori di servizi email che implementano scansioni aggressive non stanno prendendo decisioni di sicurezza volontarie ma rispondono a obblighi di conformità obbligatoria. Le organizzazioni sanitarie che non implementano le scansioni di vulnerabilità e i test di penetrazione richiesti da HIPAA si espongono a sanzioni regolatorie, e i sistemi email devono essere configurati per soddisfare tali obblighi di conformità. Questo contesto normativo spiega perché i ritardi nella consegna di email con allegati causati dalla scansione non sono spesso arbitrari ma misure di sicurezza legalmente necessarie progettate per proteggere informazioni sensibili e mantenere la conformità regolatoria.

Sfide di Recapito Oltre la Scansione di Sicurezza

Oltre ai ritardi dovuti alla scansione di sicurezza insiti nella sandbox e nell'analisi comportamentale, gli allegati email presentano una sfida distinta per il recapito, poiché i messaggi contenenti allegati ricevono un controllo più severo da parte dei filtri antispam indipendentemente dallo stato della scansione di sicurezza. Questo fenomeno riflette la realtà storica per cui gli allegati email sono stati i principali vettori di distribuzione di malware, creando un comportamento appreso nei sistemi di filtraggio antispam che considerano gli allegati come indicatori di rischio anche quando non viene rilevato contenuto dannoso.

La ricerca sul recapito delle email rivela che gli allegati attivano spesso i filtri antispam a causa delle dimensioni o del tipo di file, riducendo le possibilità che le email raggiungano le caselle di posta. Ricerche di Email on Acid indicano che le email superiori a 110 KB iniziano a manifestare problemi di recapito, mentre le email tra 15 KB e 100 KB generalmente superano i filtri antispam senza problemi. Gli allegati possono spingere rapidamente le email oltre questa soglia di dimensione sicura, aumentando le probabilità che i messaggi vengano contrassegnati come sospetti e quindi ritardati per ulteriori controlli o indirizzati direttamente nelle cartelle spam.

L’interazione tra filtro antispam basato sugli allegati e le preoccupazioni di sicurezza crea un problema complesso per il recapito delle email che impatta le tue comunicazioni quotidiane. Molti sistemi email aziendali bloccano attivamente gli allegati da mittenti sconosciuti come misura precauzionale, e le persone sono intrinsecamente meno propense ad aprire allegati da fonti non familiari. Questa realtà ha spinto le comunicazioni aziendali legittime verso link di archiviazione cloud piuttosto che allegati diretti, rappresentando un cambiamento significativo nel modo in cui le organizzazioni gestiscono la distribuzione di file sensibili. Tuttavia, questo passaggio dalla condivisione tramite allegati a quella tramite link crea proprie complicazioni riguardanti l'accessibilità offline, la gestione dei controlli di accesso e la scadenza dei link, che potrebbero non allinearsi con le tue esigenze di workflow.

La relazione tra la frequenza degli allegati e la reputazione del mittente genera ulteriori conseguenze a lungo termine per il recapito che potrebbero non essere immediatamente evidenti. L’uso frequente di allegati può danneggiare la reputazione del mittente nel tempo, poiché i provider internet monitorano i modelli di consegna e regolano il filtro di conseguenza. Ciò significa che se invii regolarmente allegati, potresti sperimentare un degrado graduale del recapito email poiché la reputazione del tuo dominio viene associata a comunicazioni con molti allegati, anche se tutti gli allegati sono completamente legittimi.

Gmail e Yahoo Mail hanno implementato requisiti particolarmente rigorosi per i mittenti nel 2026 che influenzano indirettamente la gestione degli allegati attraverso standard più ampi di autenticazione e reputazione. Dall'inizio del 2024, Gmail e Yahoo richiedono SPF, DKIM e DMARC per qualsiasi mittente che effettui consegne su larga scala, con tassi di reclamo per spam che devono rimanere sotto lo 0,10 percento per i mittenti stabili e mai raggiungere lo 0,30 percento. Questi requisiti di autenticazione e reputazione stabiliscono un quadro in cui i provider di email possono applicare filtri più aggressivi contro i mittenti che non soddisfano gli standard di autenticazione o mantengono alti tassi di reclami, il che significa che i tuoi allegati potrebbero affrontare ulteriori controlli se la tua organizzazione non ha configurato correttamente i protocolli di autenticazione email.

Implicazioni sulla Privacy della Scansione Completa

Sebbene la discussione sulla scansione di sicurezza degli allegati si sia concentrata principalmente sulla rilevazione di malware e la prevenzione delle minacce, il processo di scansione degli allegati di posta elettronica crea importanti implicazioni sulla privacy che meritano un'attenta analisi. I fornitori di servizi email che effettuano un'analisi completa degli allegati accedono necessariamente e analizzano informazioni sensibili aziendali, dati personali e comunicazioni riservate contenute nei file trasmessi, sollevando questioni rilevanti riguardo alla privacy dei dati e al controllo dell'utente.

La controversia sulle funzionalità smart di Gmail emersa a novembre 2025 ha evidenziato la tensione tra i miglioramenti della sicurezza guidati dall’IA e le aspettative di privacy degli utenti. Google ha aggiornato le impostazioni di Gmail relative al funzionamento delle sue funzionalità smart, che controllano come Gmail analizza i messaggi degli utenti per alimentare funzioni integrate quali filtro antispam, categorizzazione e suggerimenti di scrittura. I rapporti iniziali suggerivano che Google avesse automaticamente attivato gli utenti per consentire a Gmail l’accesso a tutti i messaggi privati e agli allegati per l’addestramento dell’IA, anche se successivi chiarimenti hanno indicato che Gmail scansiona il contenuto delle email per alimentare le proprie funzionalità smart, ma questo rappresenta un funzionamento normale di Gmail piuttosto che l’addestramento di modelli di IA generativa.

La distinzione tra l’uso del contenuto delle email per scopi di sicurezza immediati e il trattenimento di tali dati per scopi di addestramento del modello illustra la sfida sulla privacy che affronti come utente di posta elettronica. I fornitori di servizi email devono effettuare la scansione completa per proteggerti dalle minacce, ma i dati catturati durante la scansione presentano opportunità e rischi per usi secondari. Puoi accettare che i fornitori di posta elettronica scansionino i tuoi allegati per la rilevazione di malware ma potresti obiettare all’uso da parte di quegli stessi sistemi di posta di metadati degli allegati o pattern per altri scopi, come il miglioramento dei modelli di IA o l’inferenza degli interessi degli utenti per fini pubblicitari.

L’archiviazione locale delle email rappresenta un’architettura alternativa che modifica radicalmente il calcolo della privacy nella gestione degli allegati. Invece di memorizzare le email sui server del fornitore dove i fornitori mantengono l’accesso tecnico al contenuto dei messaggi, i client di posta locali memorizzano i dati direttamente sui dispositivi degli utenti, trasformando i modelli di sicurezza e privacy. Questa differenza architetturale si dimostra particolarmente significativa per comunicazioni sensibili contenenti informazioni aziendali riservate o dati personali che potresti preferire mantenere sotto il tuo diretto controllo.

I fornitori di posta elettronica cloud come Gmail, Outlook e Yahoo mantengono necessariamente copie di tutti i messaggi trasmessi sui loro server, dove queste copie rimangono accessibili al fornitore di posta anche se criptate in transito. Questo crea rischi di privacy continui da violazioni remote che colpiscono server centralizzati, richieste di accesso governative secondo il CLOUD Act o il Patriot Act, o estrazioni deliberate di dati da parte dei fornitori di posta per scopi commerciali. I client di posta locali eliminano questo punto di esposizione centralizzato, poiché i fornitori di posta non possono accedere ai messaggi memorizzati neanche se legalmente obbligati o tecnicamente violati perché la società semplicemente non possiede l’infrastruttura necessaria per accedere ai messaggi memorizzati sul tuo dispositivo locale.

Tuttavia, l’archiviazione locale introduce rischi e compromessi differenti che devi gestire direttamente. I client di posta locali concentrano il rischio dei dati sui dispositivi degli utenti, richiedendo pratiche robuste di sicurezza a livello dispositivo inclusa la crittografia completa del disco, password forti del dispositivo e aggiornamenti regolari della sicurezza. Devi mantenere i sistemi di posta locali con patch di sicurezza aggiornate e software di protezione degli endpoint, creando una responsabilità personale per la manutenzione che i fornitori cloud gestiscono centralmente. Per molti professionisti, questo rappresenta un compromesso valido per un maggiore controllo della privacy, mentre altri preferiscono la comodità della sicurezza gestita nel cloud nonostante le implicazioni sulla privacy.

Modifiche Architetturali di Microsoft Outlook

Microsoft ha intrapreso una significativa transizione architetturale nel modo in cui Outlook gestisce gli allegati email, passando dai paradigmi tradizionali di allegato a una condivisione di file cloud-first tramite integrazione con OneDrive. A partire dal lancio di New Outlook a partire da agosto 2024, Microsoft ha completamente ridisegnato la gestione degli allegati per dare priorità alla collaborazione cloud rispetto alla condivisione di file tradizionale, creando disagi nel flusso di lavoro per gli utenti abituati alla creazione immediata di allegati nella versione classica di Outlook.

L’aggiornamento di ottobre 2025 di New Outlook ha introdotto una funzionalità di trascinamento che esemplifica questa filosofia cloud-first. Quando trascini file da Esplora File di Windows in una finestra di composizione email, il sistema carica automaticamente il file su OneDrive e crea un link cloud invece di generare un allegato tradizionale. Secondo il changelog ufficiale di Microsoft per New Outlook, questo rappresenta il comportamento previsto dalla piattaforma, con i link cloud come impostazione predefinita e gli allegati tradizionali che richiedono passaggi manuali aggiuntivi, spesso frustranti e controintuitivi per molti utenti.

Questa modifica rappresenta una differenza significativa rispetto a Outlook classico, dove era possibile accedere alle impostazioni delle Opzioni Allegato e scegliere tra tre comportamenti distinti: essere sempre chiesti ogni volta se condividere come link o allegare come copia, condividere sempre i file come link per impostazione predefinita, o allegare sempre i file come copie. New Outlook non offre alcuna configurazione equivalente per questo comportamento, riflettendo la decisione architetturale di Microsoft di eliminare le impostazioni predefinite configurabili dall’utente e rendere la condivisione tramite link l’approccio standard, indipendentemente dai requisiti specifici del tuo flusso di lavoro.

Per gli utenti abituati alla creazione immediata di allegati in Outlook classico, New Outlook genera frustrazione richiedendo un processo multi-step in cui devi riconoscere che il file è stato caricato su OneDrive, individuare l’opzione per allegare come copia e selezionarla manualmente, tutto per quello che prima era un semplice drag-and-drop. Questa complessità rappresenta una scelta di progettazione deliberata di Microsoft per spingere gli utenti verso modelli di collaborazione cloud-first, dove i link OneDrive e SharePoint rappresentano il meccanismo preferito di condivisione file, anche quando gli allegati tradizionali rispondono meglio alle esigenze di comunicazione immediate.

Oltre ai cambiamenti nell’interfaccia utente, Microsoft ha implementato un blocco degli allegati guidato da motivi di sicurezza che limita alcuni tipi di file indipendentemente dalle preferenze degli utenti. A partire dai primi di luglio 2025, Outlook Web e il nuovo Outlook per Windows hanno automaticamente bloccato due ulteriori tipi di file sfruttati in recenti attacchi informatici: i file library-ms e search-ms. I file Windows Library sono stati specificamente utilizzati nelle campagne di phishing del 2025 che hanno sfruttato una vulnerabilità di Windows per esporre gli hash di autenticazione NTLM, mentre il gestore del protocollo URI search-ms è stato usato in attacchi di phishing e malware almeno dal giugno 2022.

Queste decisioni di blocco rappresentano misure di sicurezza proattive finalizzate a chiudere le falle di sicurezza prima che possano essere sfruttate in attacchi su larga scala, ma eliminano anche la possibilità di scelta da parte degli utenti per casi legittimi in cui questi tipi di file svolgono funzioni aziendali valide. Le organizzazioni che fanno affidamento su questi specifici formati di file devono agire immediatamente tramite la configurazione OwaMailboxPolicy per mantenere la continuità aziendale, poiché i blocchi si applicano automaticamente a tutte le configurazioni OwaMailboxPolicy senza richiedere interventi manuali da parte degli utenti.

Strategie per Gestire i Ritardi nella Consegna di Allegati

Di fronte alla realtà dei ritardi nella scansione di sicurezza degli allegati e alle sfide di deliverability associate, sono necessarie strategie pratiche che bilancino i requisiti di sicurezza con le esigenze di produttività. La ricerca indica diversi approcci che puoi implementare per rafforzare la sicurezza delle email mantenendo al contempo una performance di consegna accettabile per le comunicazioni legittime, consentendoti di lavorare efficacemente entro i limiti dell'architettura moderna della sicurezza email.

Capire quali tipi di file attivano una scansione intensiva ti permette di adattare i flussi di lavoro di conseguenza. La ricerca rivela che i file eseguibili rappresentano la categoria più pericolosa, con l'87% dei file binari rilevati come malevoli, mentre gli allegati HTML rappresentano la seconda categoria più preoccupante con quasi il 23% degli allegati HTML rilevati come malevoli. Evitare i formati di allegato con alti tassi di malware per le comunicazioni di routine, riservandoli alle situazioni in cui apportano un valore unico, può ridurre la probabilità che i tuoi messaggi attivino analisi di sicurezza prolungate.

Prevedere tempi supplementari nelle scadenze quando si inviano allegati che richiedono analisi di sicurezza previene crisi dell'ultimo minuto causate da ritardi di scansione che portano a finestre di consegna mancate. Se sai che gli allegati possono richiedere 15-20 minuti per superare la scansione di sicurezza, adeguare la tua timeline di comunicazione per tenere conto di questa finestra di elaborazione garantisce che le informazioni sensibili arrivino ai destinatari quando necessario, invece che dopo che fondamentali momenti decisionali sono già passati.

Esplorare client email desktop come Mailbird, che offrono un'architettura di storage locale, ti consente un maggiore controllo nella gestione degli allegati e riduce la dipendenza dall’infrastruttura cloud che introduce ritardi di scansione. I client email locali salvano gli allegati sul tuo dispositivo anziché sui server del provider, permettendo l’accesso offline ai messaggi e agli allegati ricevuti senza dover attendere la sincronizzazione cloud o il completamento della scansione di sicurezza. Questo approccio si rivela particolarmente utile per professionisti che operano in ambienti con connettività incoerente o per la gestione di informazioni sensibili dove lo storage locale garantisce una protezione della privacy superiore.

L’architettura della casella unificata di Mailbird ti permette di gestire più account email da provider diversi all'interno di un'unica interfaccia, mantenendo i vantaggi dello storage locale. Questo significa che puoi continuare a usare i tuoi indirizzi email e rapporti con i provider esistenti, mentre ottieni i vantaggi di produttività dello storage locale degli allegati e l’accesso immediato ai file ricevuti. Il layout personalizzabile dell’applicazione e le funzionalità per la produttività ti aiutano a organizzare le comunicazioni in modo efficiente, riducendo l’interruzione del flusso di lavoro causata dai ritardi nella consegna degli allegati nei sistemi email basati su cloud.

Per le organizzazioni che gestiscono comunicazioni sensibili, considerare approcci ibridi che combinano provider email con focus sulla privacy e client email locali offre una protezione migliorata mantenendo la produttività. Utilizzare allegati email per comunicazioni di routine, indirizzando invece file sensibili a piattaforme criptate o soluzioni sicure dedicate alla condivisione di file, assicura il miglior equilibrio tra convenienza e sicurezza. Questo approccio segmentato ti permette di abbinare i metodi di comunicazione alla sensibilità del contenuto, riservando i canali più sicuri alle informazioni che richiedono una protezione maggiorata e usando l’email standard per comunicazioni di business ordinarie.

Implementare protocolli di autenticazione email con applicazione attiva piuttosto che in modalità di solo monitoraggio rimane una difesa fondamentale nonostante la scarsa adozione diffusa. La ricerca indica che quasi la metà delle aziende non ha configurato alcuna politica DMARC e solo il 23% applica DMARC con azioni di reject o quarantine, lasciando i domini vulnerabili ad attacchi di impersonificazione. Senza l’applicazione di DMARC, gli aggressori possono inviare email apparentemente originate dal dominio della tua azienda senza effettivamente compromettere l’infrastruttura di quel dominio, rappresentando una lacuna critica nella sicurezza email che contribuisce alla pesante scansione a cui ora sono sottoposti tutti i mittenti.

Le organizzazioni dovrebbero valutare se le soluzioni di sicurezza esistenti affrontano adeguatamente le minacce contemporanee come phishing via codice QR, allegati malevoli ospitati nel cloud e ingegneria sociale generata dall’IA. Dato l’aumento del 282,7% del phishing via codice QR tra la prima e la seconda metà del 2025 e la realtà che i codici QR nelle email hanno 1,4 volte più probabilità di essere attacchi rispetto a messaggi legittimi, i sistemi di sicurezza email devono includere capacità di riconoscimento immagini e decodifica codici QR che potrebbero non essere presenti negli strumenti di sicurezza adottati prima del 2025.

Inviare allegati importanti in anticipo rispetto a quanto necessario in passato per tenere conto dei ritardi di scansione rappresenta un aggiustamento pratico che molte organizzazioni hanno già implementato. Pur non eliminando i ritardi, questo approccio ne mitiga l’impatto integrando il tempo di scansione nelle timeline di comunicazione anziché sperare che gli allegati arrivino entro i tempi attesi dagli utenti. Per comunicazioni ricorrenti con requisiti temporali prevedibili, stabilire nuove finestre di consegna di base che considerano il processo di sicurezza crea modelli di comunicazione più affidabili su cui i destinatari possono contare.

La Sfida del Falso Positivo

Nonostante sistemi sofisticati di rilevamento basati su AI raggiungano una precisione superiore al 97 percento nel distinguere le email di phishing dai messaggi legittimi, il volume di traffico email processato quotidianamente fa sì che anche tassi di precisione molto elevati producano un numero significativo di falsi positivi, in cui comunicazioni aziendali legittime vengono erroneamente segnalate e bloccate. Questi falsi positivi rappresentano una fonte persistente di frustrazione per amministratori email e utenti, poiché documenti e comunicazioni aziendali importanti subiscono ritardi o diventano inaccessibili a causa di errate classificazioni di sicurezza che devono poi essere risolte.

Microsoft Defender per Office 365 fornisce agli amministratori procedure specifiche per gestire i falsi positivi quando email legittime vengono bloccate o spostate in cartelle di quarantena. Gli utenti finali possono segnalare le email come non indesiderate utilizzando il componente aggiuntivo di Microsoft Message o i pulsanti di Outlook, aggiungere mittenti alle liste sicure e inviare messaggi a Microsoft per l’analisi. Gli amministratori possono classificare i messaggi segnalati dagli utenti e inviarli a Microsoft per analisi, al fine di capire perché le email legittime sono state bloccate e come configurare al meglio il tenant per prevenire simili situazioni in futuro.

L’importanza dei falsi positivi va oltre il semplice disagio individuale e impatta la produttività organizzativa. Quando i sistemi bloccano allegati protetti da password inviati legittimamente dai dipendenti, o quando codici QR in documenti aziendali validi innescano allarmi di phishing, il risultato è una interruzione dei flussi di lavoro e un aumento del carico di supporto per i reparti IT nella gestione delle eccezioni e dei casi speciali. Le organizzazioni devono implementare procedure che consentano eccezioni legittime mantenendo nel contempo il livello di sicurezza, generando un sovraccarico amministrativo che bilancia interessi contrastanti tra accuratezza della sicurezza e accessibilità per gli utenti.

Per gli utenti singoli, comprendere come segnalare i falsi positivi e collaborare con i reparti IT per risolvere i problemi di blocco diventa una competenza essenziale nell’ambiente email contemporaneo. Mantenere documentazione delle comunicazioni aziendali legittime erroneamente bloccate aiuta i team IT a migliorare le politiche di sicurezza e a ridurre futuri falsi positivi che causano ritardi nella consegna di email con allegati influenzando il proprio flusso di lavoro. Questo approccio collaborativo tra utenti finali e team di sicurezza crea loop di feedback che migliorano nel tempo l’accuratezza della sicurezza riducendo al minimo le interruzioni delle comunicazioni aziendali legittime.

Domande frequenti